WordPress公開直後のログ観察まとめ|Botは何を見ているのか【Security Log #18】

vivisec
WordPress公開直後のログ観察まとめ|Botは何を見ているのか

※本記事にはプロモーションが含まれています。

WordPressサイトを公開すると、アクセスがほとんどない状態でも、すぐに外部からのアクセスが発生します。

その多くは人間ではなく、自動化されたBotによるものです。

本記事では、実際のサーバーログをもとに、WordPress公開直後にどのようなアクセスが発生し、Botが何を見ているのかを整理します。

単なる一般論ではなく、実際のログ観察から見えてきた挙動をベースに解説します。

WordPress公開直後にアクセスは来るのか

実際のログを見ると、トップページだけでなく、faviconへのリクエストも同時に行われていました。

GET /
GET /favicon.ico
GET /favicon.png
User-Agent: okhttp/5.3.0

このようなアクセスは、単にページを開くだけでなく、サイトが正常に応答しているかを確認する目的で行われていると考えられます。

特にfaviconの取得は、ブラウザでも行われる挙動ですが、このケースではUser-Agentがokhttpであることから、プログラムによるアクセスである可能性が高いと考えられます。

公開直後からBotアクセスが発生する様子については、こちらの記事でも実際のログをもとに詳しく解説しています。

WordPress公開直後にBotアクセス|favicon取得から分かるスキャンの特徴

Botが最初に確認するURL

ログを見ていると、特定のURLが繰り返しアクセスされていることが分かります。

特に多かったのは以下のようなURLです。

  • /wp-admin/setup-config.php
  • /wp-login.php
  • /xmlrpc.php
  • /wp-json/wp/v2/users
  • /.env
  • /.git/config

これらはすべて、初期状態のままのサイトや設定ミスを探すためのポイントです。

特に/wp-admin/setup-config.phpは、WordPress未設定サイトの確認に使われるため、公開直後から集中的にアクセスされる傾向があります。

特にsetup-config.phpへのアクセスは公開直後から頻発します。

この挙動については、実際のログをもとに別記事で詳しく解説しています。

WordPressの/setup-config.phpを探すBotアクセス|アクセスログ分析

アクセスログから見るBotの行動パターン

単発アクセスではなく、連続したリクエストとして見ると、Botの動きが分かりやすくなります。

例えば、同一IPから数秒以内に以下のようなアクセスが行われるケースがあります。

/  
/index.php  
/admin  
/api

この流れから読み取れるのは、

  1. サイトの存在確認
  2. エントリーポイントの探索
  3. 管理系URLのチェック
  4. APIの有無確認

といった段階的なスキャンです。

見た目はただのアクセスログですが、並べて見ると探索の流れがはっきり見えてきます。

詳しくは実際のログをもとに以下の記事で解説しています。

WordPressに毎日同じ手順でアクセスが来る理由|実際のログから見るBotスキャンの仕組み

User-AgentやRefererは信用できるのか

ログにはUser-AgentやRefererが記録されますが、これらは簡単に偽装できます。

実際に同一IPから短時間で以下のような変化が見られることがあります。

  • Chrome(Windows)
  • Safari(Mac)
  • RefererがGoogleやFacebook

このような挙動は、人間の操作ではほぼありえません。

つまり、「見た目がブラウザだから安全」「RefererがSNSだから人間」といった判断は通用しません。

ログを見るときは、情報そのものではなく、挙動を見る必要があります。

User-AgentやRefererがどのように偽装されるのかについては、実際のログをもとに別記事で詳しく解説しています。

User-AgentとRefererは信用できない|WordPressログから見るBotの偽装例

実際に観察して分かったこと

継続してログを見ていると、いくつか共通した特徴が見えてきます。

公開直後から始まる高速スキャン

公開から数十分でスキャンが始まるケースもあり、誰にも知られていない状態はほぼ存在しません。

同一IPによる連続アクセスの特徴

1つのIPが短時間で複数のURLを叩くパターンが多く、単なる巡回ではなく探索目的であることが分かります。

人間っぽい挙動のBot

User-AgentやRefererを変えながらアクセスするケースもあり、一見すると通常のアクセスに見えるものもあります。

しかし、リクエストの間隔やURLの選び方を見ると、自動化された挙動であることが分かります。

WordPressで最低限やるべきセキュリティ対策

ここまでの内容を踏まえて、最低限の対策だけ整理しておきます。

  • 不要なファイル(readme.html など)を公開しない
  • wp-login.phpの直接アクセス対策
  • xmlrpc.phpの無効化
  • /wp-json/wp/v2/usersの公開範囲確認
  • 設定ファイル(.envなど)を配置しない

重要なのは、完全に防ぐことではなく、露出を減らすことです。

Botのスキャン自体は止められないため、見られて困る状態を作らないことが基本になります。

また、これらのアクセスの多くはサーバー側のWAFでもある程度はブロックされています。

例えばエックスサーバーでは、XSSやSQLインジェクションなどの基本的な攻撃は自動で検知・遮断される機能があります。

ログを見ていると分かりますが、すべてを防げるわけではないものの、何も対策していない状態よりは明らかにリスクを下げられます。

エックスサーバー公式サイトはこちら

まとめ|ログを見るとネット世界の見え方が変わる

WordPressを公開すると、アクセスがない状態でもすでに外部からの観察は始まっています。

ログを見ていないと何も起きていないように見えますが、実際にはさまざまなスキャンが行われています。

  • 公開直後からBotは動いている
  • 特定のURLは優先的に狙われる
  • User-AgentやRefererはあてにならない
  • 挙動を見ることで意図が見えてくる

ログを継続的に観察することで、「ただのアクセス記録」が「意味のある情報」に変わります。

見えなかったものが見えるようになる、というのが一番大きな変化です。

【関連記事】

このブログの運営環境

  • WordPress
  • GeneratePress
  • エックスサーバー

エックスサーバー公式サイト